Exploração de Plugin do WordPress: Ataques Massivos Visam o Bonito Banner de Consentimento de Cookies

A empresa de segurança do WordPress, Defiant, observou os ataques que visam uma exploração de Cross-Site Scripting (XSS) Armazenado Não Autorizado em um plugin do WordPress chamado Bonito Banner de Consentimento de Cookies, que possui mais de 40.000 instalações ativas.

Para começar, Cross Site Scripting é um tipo de injeção em que o atacante injeta scripts maliciosos em sites confiáveis. Nos ataques XSS, o ator da ameaça envia um código malicioso, como em um script do lado do navegador, para um usuário diferente.

Bem, o efeito pode incluir acesso não autorizado a informações sensíveis, sequestro de sessão e infecções por malware via redirecionamentos para sites maliciosos ou a completa comprometimento do sistema da vítima.

De acordo com a empresa de segurança do WordPress, Defiant, a exploração em questão também permite que atacantes não autorizados criem contas de administrador fraudulentas em sites que executam versões de plugins não corrigidas (até e incluindo 2.10.1). A vulnerabilidade explicada nesta atividade foi corrigida em janeiro com o lançamento de uma versão mais nova, ou seja, 2.10.2.

Leia: CISA Alerta sobre Falha de Segurança em Dispositivos Samsung, Permite Bypass do ASLR do Android

Segundo o analista de ameaças Ram Gall, a vulnerabilidade tem sido atacada ativamente desde 5 de fevereiro de 2023, mas este é o maior ataque contra ela que já vimos. “Bloqueamos quase 3 milhões de ataques contra mais de 1,5 milhão de sites de quase 14.000 endereços IP desde 23 de maio, e os ataques estão em andamento.“

Apesar da natureza em larga escala desta atividade de ataque, segundo Gall, o ator da ameaça usa uma exploração mal configurada que provavelmente não implantaria um payload mesmo ao mirar em um site WordPress que executa uma versão vulnerável do plugin.

No entanto, os administradores ou os proprietários do site que usam um plugin Bonito Banner de Consentimento de Cookies são aconselhados a atualizar o plugin para a versão mais recente, uma vez que um ataque falhado poderia corromper a configuração do plugin armazenada na opção nsc_bar_bannersettings_json.

Além disso, as versões de plugins corrigidas também foram atualizadas para se repararem no caso de os sites serem alvos.

Embora a recente onda de ataques possa não ser capaz de injetar um payload malicioso, os atores de ameaça que estão por trás desta atividade poderiam retificar esses problemas e provavelmente infectar aqueles que permanecem expostos.

Leia: Ator de Ameaça Explora Microsoft Azure para Ganhar Acesso a Máquinas Virtuais